1. Das Problem
Wie einige von euch sicherlich mitbekommen haben, wurde die Bodycam bereits bei der Bundespolizei eingeführt. Laut Medienberichten soll sich aufgrund einer parlamentarischen Anfrage der FDP herausgestellt haben, dass die Bundespolizei für die technische Umsetzung auf eine Cloud-Lösung von Amazon Web Services zurückgreift. Die Daten werden also auf Servern von Amazon gespeichert.
Die Wahl des Anbieters hat den Hintergrund, dass bislang keine ausreichende staatliche Infrastruktur zur Verfügung steht. Amazon AWS ist bislang der einzige Anbieter, der eine entsprechende Zertifizierung des Bundesamts für Sicherheit in der Informationstechnik (BSI) erhalten hat, sodass es nicht möglich ist, auf deutsche/europäische Anbieter zurückzugreifen.
Unabhängig davon, ob die betreffenden Server in Deutschland stünden, soll es nicht unwahrscheinlich sein, dass die US-Sicherheitsbehörden (NSA, CIA, FBI) auf diese Daten zugreifen könnten. Zumindest arbeitet Amazon im Bereich Bodycams in den USA in gemeinsamen Projekten eng mit den Sicherheitsbehörden zusammen. Im Worst-Case-Szenario könnten ausländische Geheimdienste (oder Amazon selbst) auf ca. 2000 bewegliche Kameras zugreifen, die hochsensibles Material aufnehmen.
Aus landespolitischer Sicht stellt sich noch ein weiteres Problem. Die Zertifizierung der entsprechenden Technik erfolgt durch das BSI, welches dem (zumeist CDU/CSU geführten) Bundesministerium für Inneres untersteht. Uns dürfte allen bekannt sein, wie die CDU/CSU die Sicherheits- und Wirtschaftsinteressen gegenüber Bürgerrechten gewichten. Wir sollten daher unbedingt verhindern, dass über die Auswahl der Sicherheitstechnik ein Einfallstor für konservative Sicherheitspolitik im Berliner Polizeirecht entsteht.
2. Lösungsansatz
Ich schlage vor, unmittelbar im ASOG zu regeln, dass die Verwendung einer Bodycam aus polizeirechtlicher Sicht nur zulässig ist, wenn die Datenhoheit des Landes sichergestellt werden kann. Das setzt voraus, dass ausschließlich staatliche Infrastruktur verwendet wird, sobald diese vorhanden ist. Sollte sich darauf verständigt werden, dass für eine (genau zu bestimmende) Übergangszeit auf private Anbieter zurückgegriffen werden kann, muss garantiert werden, dass weder private Unternehmen noch andere Staaten Zugriff auf die Daten haben. Dazu muss der/dem Landesdatenschutzbeauftragten ein umfängliches Prüfrecht des technischen Vorgangs eingeräumt werden. Damit es sich dabei nicht um ein „stumpfes Schwert“ handelt, muss es der/dem Landesdatenschutzbeauftragten die Möglichkeit eingeräumt werden, beim bloßen Verdacht auf Verletzungen des Datenschutzrechts die Verwendung der Bodycams unverzüglich zu untersagen.
Ein solche Koppelung von polizeirechtlichem Eingriffsrecht und Datenschutzrecht ist regelungstechnisch unüblich, wegen der immensen Eingriffsintensität jedoch erforderlich. Normalerweise wird die Zuverlässigkeit eines Anbieters vor allem im Vergabeverfahren, also bei der Auftragsvergabe relevant. Sollten sich in diesem Fall aber bspw. erst zu einem späteren Zeitpunkt Anhaltspunkte für Sicherheitsbedenken ergeben, hätte dies unmittelbar keine rechtlichen Auswirkungen auf die Zulässigkeit des Einsatzes der betroffenen Bodycams. Welche Probleme sich in diesem Rahmen ergeben können, zeigt die Problematik bei der Vergabe der 5G-Lizenzen, bei der das Ministerium zurzeit panisch nach Mitteln sucht, um Huawei wegen seiner Nähe zum chinesischen Staat auszuschließen. Die rechtliche Koppelung vermeidet mögliche Probleme im Vergabeverfahren nicht, verhindert aber den Einsatz der fraglichen Technik durch die Polizeibehörden.
Die gegenseitige Kontrolle der Behörden dürfte die Einhaltung von Sicherheitsstandards sicherstellen.
Da der „Amazon-Skandal“ der Bundespolizei derzeit eine breite mediale Aufmerksamkeit genießt, bietet sich hier großes Potential, sich als Vorreiter in Sachen Datenschutz zu profilieren.
3. Vertiefend:
https://www.zeit.de/digital/datenschutz/2019-03/amazon-cloud-bundespolizei-speicherung-bilder